In den letzten drei Jahren wurden manipulierte Office-Dateien für die Verteilung von Malware am meisten genutzt. Dieser unrühmliche Spitzenrang geht nun neu an Archiv-Dateien in Formaten wie ZIP und RAR, wie
HP Wolf Security auf Basis von Millionen von Endpoint-Daten ermittelt und
in einen Blogpost publiziert hat. Demnach stammten von Juli bis September 2022 44 Prozent aller Malware, die über Dateien verbreitet wurde, aus Archiv-Files, das sind 11 Prozent mehr als im Vorquartal. Office-Dokumente waren nur noch für 32 Prozent der Malware verantwortlich.
Eine Rolle dabei dürfte Microsofts Entscheidung spielen, VBA-Makros automatisch zu sperren ("Swiss IT Magazine"
berichtete). Cyberkriminelle nutzen zur Malware-Verbreitung stattdessen HTML-Files, die auf manipulierte Online-Viewer verweisen, die angeblich von Adobe stammen. Die Nutzer werden dabei aufgefordert, ein ZIP-File zu öffnen und ein Passwort einzugeben, um das Archiv zu dekomprimieren – die Folge davon ist dann, dass die Malware auf dem Gerät installiert wird. Beispiele für dieses Vorgehen sind die Malware-Kampagnen QakBot und IceID.
Das Pikante daran: Weil die genutzten HTML-Files verschlüsselt und passwortgeschützt sind, können Sicherheitstools wie E-Mail-Gateways die Malware nicht erkennen. Archive lassen sich sehr einfach verschlüsseln. Dafür liegt das Augenmerk bei solchen Kampagnen bei der Gestaltung der HTML-Seiten getrieben, wie Alex Holland, Senior Malware Analyst bei HP Wolf Security, festhält: "Was bei den QakBot- und IceID-Kampagnen interessant war, war der Aufwand, der in die Erstellung der gefälschten Seiten gesteckt wurde – diese Kampagnen waren überzeugender als das, was wir zuvor gesehen haben, und machten es den Leuten schwer zu wissen, welchen Dateien sie vertrauen können und welchen nicht."
(ubi)
